Manual de Desenvolvimento e Aquisição de Sistemas Seguros

Tamanho: px
Começar a partir da página:

Download "Manual de Desenvolvimento e Aquisição de Sistemas Seguros"

Transcrição

1 Governo do Estado de Minas Gerais Secretaria de Estado de Planejamento e Gestão Subsecretaria de Gestão Superintendência Central de Governança Eletrônica Manual de Desenvolvimento e Aquisição de Sistemas Seguros Volume 2 Diretivas para codificação segura, proteção de dados e interoperabilidade de sistemas Belo Horizonte (Julho/2010) Desenvolvido por:

2 Renata Maria Paes de Vilhena Secretária de Estado de Planejamento e Gestão Eurico Bitencourt Neto Secretário-Adjunto Frederico César Silva Melo Subsecretário de Gestão Daniel Araújo de Castro Diretor da Superintendência Central de Governança Eletrônica Adriano Otávio Rocha Teixeira Diretor Central de Infraestrutura de TIC Carine Alves Gerência Integrada de Riscos e Sistemas Empresariais Leonardo Bruno Possa Andrade Gerente Projeto 2 SEPLAG - Padrão Seguro de Desenvolvimento

3 1. INTRODUÇÃO Sobre o manual Motivadores Como utilizar este manual Público alvo Limitações Procedimentos Aquisição de sistemas seguros TÉCNICAS DE PROGRAMAÇÃO SEGURA Características de Códigos Seguros Postura de defesa Otimização e monitoramento de desempenho Cuidados com temporizadores Estrutura baseada em usuários ilegítimos Filtros de dados Manipulação de erros Limitador de acessos Páginas de login seguras Teste de Turing Senhas seguras Criação de servidores SSL Controle de acesso e autenticação de clientes Forçando conexões seguras Segurança em identificadores de sessão Prevenindo execução remota Monitoração Técnicas de Segurança em PHP Proteção de informações confidenciais Inicialização de variáveis Configuração do PHP register_globals display_errors log_errors error_reporting error_log expose_php Configuração de um servidor compartilhado Variáveis Tipos de dados Filtro de dados Permitindo apenas variáveis esperadas Ataques por formulários Spam Cross-Site Scripting (XSS) Upload de arquivo SEPLAG - Padrão Seguro de Desenvolvimento

4 Protegendo o código fonte e os arquivos Implementando White list Sessões seguras Criptografia e hash Variável criptografada na URL SQL injection Técnicas de Segurança em Java Validação de entradas de dados Adicionando lógica de validação ao objeto HTTPServletRequest Codificando entidades HTML Autenticação Armazenando senhas com segurança Segurança declarativa Prevenção contra fixação e roubo de sessões Tratamento de erros Criptografia e Message digest Assinatura digital Prevenção contra SQL Injection Assinatura de código em Java Controles Técnicos PROTEÇÃO DE DADOS Ameaças Controles Gerenciais Controles Técnicos Controles Técnicos com Implementações CI-1 Conta de Usuário CI-2 Conta de Usuário CI-3 Conta de Usuário CI-4 Conta de Usuário CI-5 Conta de Usuário CI-6 Conta de Usuário CI-7 Conta de Usuário CI-8 Conta de Usuário CI-9 Conta de Usuário CI-10 Conta de Usuário CI-11 Processo de Configuração e Suporte CI-12 Processo de Configuração e Suporte CI-13 Processo de Configuração e Suporte CI-14 Processo de Configuração e Suporte CI-15 Processo de Configuração e Suporte CI-16 Processo de Configuração e Suporte CI-17 Auditoria e Log de Sistema CI-18 Auditoria e Log de Sistema CI-19 Auditoria e Log de Sistema SEPLAG - Padrão Seguro de Desenvolvimento

5 CI-20 Controle de Rede e Ambiente CI-21 Testar a execução e restauração de backup INTEROPERABILIDADE DE SISTEMAS (E-PING) Características Interconexão Políticas Técnicas Especificações Técnicas Mensageria (IM) Infra-estrutura de Rede (IR) Serviços de Rede (ISR) Segurança Políticas Técnicas Especificações Técnicas Comunicação de Dados (CD) Criptografia (SC) Desenvolvimento de Sistemas (DS) Serviços de Rede (SSR) Redes Sem Fio (SF) Respostas a Incidentes de Segurança da Informação (ISI) Meios de Acesso Políticas Técnicas Especificações Técnicas Estações de Trabalho (ET) Mobilidade (MM) Organização e Intercâmbio de Informações (II) Temas Transversais a Áreas de Atuação do Governo (AG) Web Services (WS) REFERÊNCIAS E LITERATURA COMPLEMENTAR ANEXOS Glossário SEPLAG - Padrão Seguro de Desenvolvimento

6 Lista de Tabelas Tabela 1 - Ameaças e seus impactos à Confidencialidade (C), Disponibilidade (D), Integridade (I) Tabela 2 Controles técnicos de programação segura Tabela 3 - Ameaças a bases de dados Tabela 4 Controles gerenciais em bancos de dados Tabela 5 Controles técnicos em bancos de dados Tabela 6 Especificações técnicas (Mensageria) Tabela 7 Especificações técnicas (Infra-estrutura de rede) Tabela 8 Especificações técnicas (Serviços de rede) Tabela 9 Especificações técnicas (Comunicação de dados) Tabela 10 (Criptografia) Tabela 11 Especificações técnicas (Desenvolvimento de sistemas) Tabela 12 Especificações técnicas (Serviços de rede) Tabela 13 Especificações técnicas (Redes sem fio) Tabela 14 Especificações técnicas (Respostas a incidentes de SI) Tabela 15 Especificações técnicas (Estações de trabalho) Tabela 16 Especificações técnicas (Mobilidade) Tabela 17 Especificações técnicas (Organização e intercâmbio de informações) Tabela 18 Especificações técnicas (Temas transversais) Tabela 19 Especificações técnicas (Web services) SEPLAG - Padrão Seguro de Desenvolvimento

7 Lista de Figuras Figura 1 Estrutura baseada em usuários ilegítimos Figura 2 Página HTTPS para login Figura 3 Exemplo de captcha SEPLAG - Padrão Seguro de Desenvolvimento

8 1. Introdução 1.1. Sobre o manual Atendendo a requisição da Secretaria de Estado de Planejamento e Gestão de Minas Gerais, a Ernst & Young redigiu este manual com base em pesquisas e em sua experiência de mercado. Seu principal objetivo é compor uma referência única para os requerimentos de segurança e validação dos sistemas desenvolvidos e adquiridos para órgãos e entidades públicas de Minas Gerais. Ao longo do documento, são fornecidas diretrizes e exemplos para o estabelecimento de controles com base em padrões de mercado como: CobiT 4.1 CMMi 1.2 para desenvolvimento ISO 27002, com ênfase nos itens de segurança de aplicações ISO , para requerimentos funcionais de segurança ISO , para as definições de avaliação de segurança e maturidade de sistemas Publicações especiais (SPs) 800 do NIST, que fornecem exemplos e práticas FIPS 199 e 200 do NIST, para a classificação de sistemas e-ping, que define os padrões de interoperabilidade do governo eletrônico Documentos de entidades não governamentais especializadas, como ISACA e OWASP Há dois volumes do manual, sendo: Volume 1: Requerimentos de segurança para desenvolvimento e validação; Volume 2: Diretivas para codificação segura e interoperabilidade de sistemas. 8 SEPLAG - Padrão Seguro de Desenvolvimento

9 1.2. Motivadores Tradicionalmente, a segurança da informação tem como foco a implantação de sistemas de controle de acesso global, como firewalls e servidores de autenticação. A sofisticação dos sistemas sua utilização em modelo distribuído, tem direcionado ataques para as aplicações, que têm requerido maior segurança. Dentre as ameaças às aplicações, destacam-se: Código Ameaça Descrição C D I O atacante pode fazer uso de informações T 1 Roubo ou vazamento de relevantes que não foram devidamente informações protegidas ou que, por algum erro, foram x mostradas na tela do usuário O atacante utiliza sua influência para T 2 Engenharia social descobrir informações relevantes que podem facilitar a descoberta de senhas ou x configurações do sistema T 3 Ataques de injeção Injeção de instruções ou códigos maliciosos em campos de entradas de dados, forçando x x o sistema a executar comandos do atacante T 4 Cross-Site Scripting (XSS) Uso de aplicações web para envio de códigos maliciosos a serem executados no browser de diferentes usuários finais, podendo acessar cookies e outras x x informações retidas pelo mesmo, além da possibilidade de alteração do conteúdo da página web T 5 Roubo de sessões Técnicas para utilização indevida de sessões de outros usuários autenticados no sistema. Quando este ataque é bem sucedido, o atacante adquire todos os x x privilégios do usuário que teve a sessão roubada T 6 Cross-Site Request Forgery Envio de links de páginas com códigos maliciosos que, se clicados pelo x 9 SEPLAG - Padrão Seguro de Desenvolvimento

10 destinatário, executam ações a favor do atacante T 7 Injeção de SQL Injeção de códigos SQL maliciosos em campos de entradas de dados dos usuários. A execução destes códigos gera consultas no banco de dados, revelando informações ao atacante Ataques que reescrevem fragmentos de memória do sistema, podendo interromper a T 8 Estouro de buffer execução do sistema de forma inesperada. Tais ataques aproveitam-se de vulnerabilidades em entradas de dados de usuários Tomada do controle direto do sistema, T 9 Execução remota através da inserção de scripts maliciosos em interfaces de texto vulneráveis Interrupção inesperada do sistema, causada T 10 Interrupção do sistema por ataques ou pela sobrecarga de recursos não monitorados do sistema Utilização de para envio de T 11 Spam mensagens com links maliciosos a diversos usuários Uso de informações geradas pelo próprio sistema para aferir se um ataque teve sucesso ou causou algum impacto. T 12 Aferição de sucesso em ataques Mensagens de erro ou de tempo de execução são comumente usadas por atacantes para medir o sucesso de seus ataques Uso de robôs para envio de dados através T 13 Ataques de robôs de formulários ou para testes de senhas de acesso Técnicas utilizadas para a descoberta de T 14 Ataques de Força Bruta senhas e para burlar controles de acesso, com base na tentativa e erro Tabela 1 - Ameaças e seus impactos à Confidencialidade (C), Disponibilidade (D), Integridade (I). x x x x x x x x x x x x x x x x x 10 SEPLAG - Padrão Seguro de Desenvolvimento

11 Essas ameaças revelam um perfil emergente de atacantes, com foco na obtenção de informações confidenciais e na manpulação de sistemas, não somente na sua interrupção. Um sistema governamental que apresenta falhas pode ter como consequências: Publicidade negativa; Investigações e aplicações legais; Perda de reputação; Perda da confiança do cidadão. Naturalmente, há perdas financeiras decorrentes das falhas, com exemplos recentes: Dados de concursos, arrecadação, licitações e contratos, bem como informações de pessoas físicas fazem parte dos sistemas da informação de qualquer governo. Seu vazamento pode gerar custos por atrasar processos ou trazer ações judiciais. o Além dos sistemas, é importante ter atenção às operações e ao ambiente como um todo. O caso da fraude da prova do ENEM em 2009, por exemplo, obrigou o MEC a refazer contratos e imprimir novas provas gerando prejuízo de aproximadamente R$ 40 milhões (UOL, 2009); Para a segurança pública, há suspeitas de que informações privilegiadas reduziram o sucesso de operações policiais (IG, 2009); Os mortos-vivos da previdência social já consumiram cerca de R$ 1,67 bilhão em benefícios concedidos a segurados falecidos (Vaz, 2009), que 11 SEPLAG - Padrão Seguro de Desenvolvimento

12 poderiam ser evitados caso houvesse integração entre os sistemas de cartórios e do INSS; Há polêmica quanto à compra de caças para o Brasil, em uma disputa entre fabricantes dos EUA, França e Suécia, que está sendo marcada pelo vazamento de informações; Sistemas inseguros podem ferir a legislação e atrapalhar investigações, como foi o caso de suspeita de queima de arquivo público, ao serem detectadas subtrações dos arquivos de segurança na Câmara dos Deputados (Agência Brasil, 2009) Como utilizar este manual Público alvo Gestores, desenvolvedores e avaliadores de sistemas para órgãos e entidades governamentais de Minas Gerais Limitações O manual não contempla todas as ferramentas ou emprega todos os controles de segurança disponíveis no mercado. Seu uso fundamental é para estabelecer um conjunto mínimo de padrões de segurança, que deverão ser estabelecidos com controles técnicos definidos pelos desenvolvedores ou compradores Procedimentos A forma mais indicada de utilizar o manual é ter como referência o guia rápido de desenvolvimento seguro, em conjunto com o plano de segurança (a ser preenchido durante todo o desenvolvimento), disponíveís nos anexos deste volume. 12 SEPLAG - Padrão Seguro de Desenvolvimento

13 Aquisição de sistemas seguros Embora o manual seja voltado para o desenvolvimento de sistemas seguros, seu uso poderá ser estendido para o estabelecimento de requerimentos e validação de sistemas adquiridos. Nesses casos, os gestores terão uma ferramenta para garantir que as aplicações obtidas no mercado mantêm os mesmos níveis de segurança que as desenvolvidas com os requerimentos aqui contidos. Um sistema adquirido deverá atender aos requerimentos de seu nível de segurança, estipulado pelo comprador, em acordo com o fornecedor. Portanto, deverão ser fornecidos os documentos necessários para a avaliação do sistema, conforme apresentado no capítulo 4 do volume 1 deste manual. 13 SEPLAG - Padrão Seguro de Desenvolvimento

14 2. Técnicas de Programação Segura Em sistemas orientados a objeto, os objetos são encapsulados, o que os protege, restringindo o acesso ao seu conteúdo. Por questões de segurança, nenhum objeto deve ser capaz de acessar dados internos de outro objeto. Algumas questões de segurança podem ser encontradas no uso de instanciação múltipla, polimorfismo e herança. A instanciação múltipla permite a produção iterativa de uma versão mais definida de um objeto, substituindo as variáveis com valores (ou outras variáveis). Assim, diferenças entre os dados dentro dos objetos são feitas para desencorajar objetos de baixo nível a obterem informações em um alto nível de segurança. A técnica também é utilizada para evitar canais dissimulados baseados em inferências, fazendo com que a mesma informação exista em diferentes níveis de classificação. Portanto, usuários em um nível inferior de classificação não sabem da existência de um nível maior de classificação. Na programação orientada a objetos, polimorfismo refere-se à capacidade da linguagem para processar os objetos de maneira diferente dependendo, de acordo com seus tipos de dados. O termo é por vezes usado para descrever uma variável que pode se referir a objetos cuja classe não é conhecida em tempo de compilação, mas que em tempo de execução responderão de acordo com a classe do objeto ao qual se referem. O uso incorreto do polimorfismo pode levar a problemas de segurança. Uma das atividades básicas de um design orientado a objetos é o estabelecimento de relações entre as classes. Uma maneira fundamental para relacionar classes é através de herança, ou seja, quando uma classe de objetos é definida, qualquer subclasse pode herdar as suas definições A herança permite que um programador crie uma nova classe similar a uma classe existente, sem a necessidade de duplicar o código. A nova classe herda as definições da antiga classe, e acrescenta outras definições. Esta característica ajuda a reduzir o tempo de desenvolvimento. 14 SEPLAG - Padrão Seguro de Desenvolvimento

15 Heranças múltiplas podem introduzir complexidade e podem resultar em falhas de segurança no acesso aos objetos. Questões como conflitos de nomes e ambiguidades devem ser resolvidas para evitar que uma subclasse herde indevidamente os privilégios de uma superclasse. 15 SEPLAG - Padrão Seguro de Desenvolvimento

16 2.1. Características de Códigos Seguros Postura de defesa Manter as informações protegidas deve ser uma preocupação constante durante o desenvolvimento de sistemas. Mesmo que uma informação não tenha relevância ou não seja confidencial, a mesma não deve ser divulgada, a menos que seja realmente necessário. Esta postura também se aplica a sistemas operacionais, linguagens de programação, bancos de dados e demais recursos. Diretivas: Manter as informações protegidas; Otimização e monitoramento de desempenho As características de desempenho de um sistema impactam diretamente em sua disponibilidade. Os programas devem consumir o mínimo de recursos do sistema, liberando o tempo do processador para a execução das demais tarefas. Para garantir um bom desempenho, um programa deve: Consumir o mínimo possível de tempo de CPU; Alocar a menor quantidade possível de memória; Gravar todos os dados necessários usando o mínimo de espaço em disco; Utilizar a rede de forma econômica e racional. É importante que a utilização dos recursos seja monitorada. Temporizadores devem ser inseridos nos programas para medir seu tempo total de execução, e ferramentas específicas devem ser utilizadas para monitorar a disponibilidade dos recursos no servidor. 16 SEPLAG - Padrão Seguro de Desenvolvimento

17 Exemplo de temporizador, ou cronômetro, escrito em php: class temporizador { var $iniciar; var $pausar; /* Construtor do Temporizador */ function temporizador($iniciar= 0) { if($iniciar) { $this->iniciar(); /* Inicia o Temporizador */ function iniciar() { $this->iniciar= $this->get_time(); $this->pausar = 0; /* Pausar o Temporizador */ function pause() { $this->pausar = $this->get_time(); /* Continuar (após estar pausado) o Temporizador */ function unpause() { $this->iniciar += ($this->get_time() - $this->pausar); $this->pausar = 0; /* Obter o valor actual do temporizador */ function get($decimais= <IMG class=wp-smiley alt=8) src="http://cgoncalves.com/wp-includes/images/smilies/icon_cool.gif"> { return round(($this->get_time() - $this->iniciar),$decimais); /* Formatar o tempo em segundo */ function get_time() { list($usec,$sec) = explode(' ', microtime()); return ((float)$usec + (float)$sec); A seguir, é apresentado um exemplo de como utilizar a classe do temporizador: $temporizador = new temporizador (1); // Construtor inicializa o temporizador, então não é preciso sermos nós a fazê-lo /*... mysql query... */ $query_time = $temporizador->get(); /*... Processar a Página... */ $tempo_processamento = $temporizador->get(); O resultado seria uma mensagem parecida com a seguinte: <!-- Esta página demorou 2.28 segundos para carregar! --> 17 SEPLAG - Padrão Seguro de Desenvolvimento

18 Cuidados com temporizadores É recomendável que os dados referentes ao tempo de geração das páginas não sejam apresentados pelo browser, pois os mesmos podem ser utilizados para medir o sucesso de um ataque. A melhor solução para esse problema é armazená-los em um banco de dados, o que permitirá gerar estatísticas e relatórios sobre o desempenho do sistema. Diretivas: Consumir o mínimo de recursos do sistema; Consumir o mínimo de tempo do processador; Alocar a menor quantidade de memória possível; Usar o mínimo de espaço em disco possível; Utilizar a rede de forma econômica e racional; Monitorar a utilização dos recursos; Inserir temporizadores de execução; Não apresentar os dados de tempo de execução na tela do usuário. 18 SEPLAG - Padrão Seguro de Desenvolvimento

19 Estrutura baseada em usuários ilegítimos A estrutura do sistema deve ser desenhada com o foco em usuários ilegítimos. Por exemplo: antes de se preocupar em fazer uma página de login funcionar, o desenvolvedor deve filtrar os dados e tratar os riscos referentes a ataques de injeção. Apenas depois do tratamento dos riscos já conhecidos referentes a esses usuários, deve-se desenhar a estrutura para os usuários legítimos. Essa estratégia proporciona ganhos em velocidade na fase de programação segura. Figura 1 Estrutura baseada em usuários ilegítimos. Diretivas: Desenhar a estrutura do sistema com foco em usuários ilegítimos Filtros de dados Os filtros de dados são essenciais para a implementação de segurança em uma aplicação. Todas as variáveis de entrada do programa devem ser filtradas, sejam elas digitadas pelos usuários, recebidas através de arquivos/formulários, ou até mesmo provenientes da interação com servidores de bancos de dados. A checagem de consistência dos dados não deve ser feita apenas por códigos JavaScript, pois esta linguagem pode ser desativada no browser ou um programa robô pode preencher um formulário sem ser descoberto. É essencial que a checagem também seja realizada no servidor. Diretivas: Filtrar todas as variáveis de entrada do sistema; Checar a consistência dos dados no servidor. 19 SEPLAG - Padrão Seguro de Desenvolvimento

20 Manipulação de erros As exceções geradas pelo sistema devem ser manipuladas para que as mensagens de erro sejam registradas apenas em arquivos de log, impedindo que sejam apresentadas na tela informações como o endereço do servidor de banco de dados, variáveis do sistema, ou outras informações que possam ser utilizadas por pessoas mal intencionadas para ataques de inferência. As regras para a manipulação de erros devem ser definidas em tempo de projeto, definindo quando e para quem (log do servidor, usuário, suporte, etc) cada evento deve disparar mensagens. Exemplos inapropriados de mensagens de erro normalmente encontradas em sistemas: Falha no login: usuário inválido ; Falha no login: usuário não encontrado ; Falha no login: senha inválida ; Falha no login: conta desabilitada ; Falha no login: usuário inativo ; Essas mensagens não devem ser apresentadas, pois fornecem ao atacante um direcionamento quanto ao nível de sucesso do ataque. O ideal é solicitar que o usuário entre em contato com a área responsável pelo suporte ou, caso necessário, apresentar uma mensagem menos específica, como Falha no login: usuário e/ou senha inválido(s) Os logs gerados pelo sistema e pelos servidores devem ser monitorados. Diretivas: Manipular as exceções geradas pelo sistema; Monitorar logs gerados pelo sistema e pelos servidores. 20 SEPLAG - Padrão Seguro de Desenvolvimento

21 Limitador de acessos Devem ser implementados limitadores de acesso ao sistema. Um exemplo essencial de limitador de acesso é o rate limit, que reage a tentativas mal sucedidas de login por um usuário, já que o usuário pode estar tentando quebrar senhas. Os acessos por endereço IP também devem ser limitados, através de regras de firewall ou com ACLs implementadas no sistema. Diretivas: Implementar limitadores de acesso ao sistema Páginas de login seguras Os dados de login (usuário e senha) devem ser postados sobre uma conexão SSL (Secured Socket Layer), e o botão de ação do formulário deve referenciar uma página do tipo HTTPS, com o uso de certificados de cadeia reconhecida publicamente. A página atual, onde o usuário preenche o formulário de login, deve ser do tipo HTTPS. Caso contrário, um atacante pode modificar o local de submissão do formulário, inserir códigos JavaScript, ou utilizar sistemas de monitoramento que roubam os dados de login assim que digitados ou enviados. 21 SEPLAG - Padrão Seguro de Desenvolvimento

22 Figura 2 Página HTTPS para login. Mensagens de alerta ou de erros SSL não devem ser apresentadas ao usuário. A conexão deve ser negada caso um usuário tente acessar uma versão HTTP da página de login. Diretivas: Dados de login devem ser postados sobre uma conexão SSL; A página de login deve ser do tipo HTTPS; Mensagens de alerta ou de erros SSL não devem ser apresentadas ao usuário; A conexão deve ser negada caso um usuário tente acessar uma versão HTTP da página de login; 22 SEPLAG - Padrão Seguro de Desenvolvimento

23 Teste de Turing Para evitar a ação de robôs, testes de Turing devem ser aplicados aos formulários do sistema. Um exemplo da aplicação destes testes são os CAPTCHAs, scripts que geram imagens aleatoriamente e as apresentam no browser para que sejam interpretadas pelo usuário, com a finalidade de distinguir computadores e humanos. Figura 3 Exemplo de captcha. Outra maneira de distinguir computadores e humanos é através de CAPTCHA inverso. Esta técnica consiste em criar um campo escondido no formulário. Desta forma, se este campo for preenchido, certamente terá sido através da ação de um robô, já que humanos não conseguiriam vê-lo. A aplicação de CAPTCHAs deve ser avaliada com antecedência, pois pode afetar o desempenho do sistema. O CAPTCHA inverso, por exemplo, funciona de forma transparente para o usuário, além de consumir menos recursos do servidor. Diretivas: Aplicar testes de Turing aos formulários do sistema Senhas seguras O tamanho das senhas considera a quantidade mínima e máxima de caracteres que compreendem a senha dos usuários. O tamanho da senha deve ser configurável, usando possivelmente um arquivo de propriedades ou um arquivo XML de configuração. As senhas devem seguir o padrão definido pela política institucional. Caso o padrão não seja aplicável, é recomendado que as senhas tenham as seguintes características: 23 SEPLAG - Padrão Seguro de Desenvolvimento

24 As senhas devem ter no mínimo 8 caracteres, porém não devem ser muito maiores do que isso, pois as pessoas tendem a esquecer suas senhas, e quanto maiores elas forem, maiores são as chances de ocorrerem autenticações inválidas; As senhas devem combinar caracteres alfanuméricos (letras e números); Toda senha deve possuir pelo menos 1 letra maiúscula, e pelo menos 1 letra minúscula. As senhas não podem conter caracteres contínuos (123; abc) ou mais de 1 caractere idêntico em sequência (111; 222). Os hashes das antigas senhas utilizadas devem ser mantidos em um histórico, de forma que o usuário não possa usar uma senha já utilizada em um passado recente. Em caso de aplicações altamente críticas, deve ser considerado também o fator múltiplo de autenticação. Com fator múltiplo, a autenticação deve requerer a utilização de dois ou mais dos seguintes fatores: Algo que o usuário saiba (senha ou detalhes da conta); Algo que o usuário possua (tokens ou telefones celulares); Algo que o usuário seja (biometria). Diretivas: O tamanho das senhas deve ser configurável pelo administrador de segurança do sistema; As senhas devem seguir o padrão definido pela política institucional; Aplicações altamente críticas devem utilizar fator múltiplo de autenticação. 24 SEPLAG - Padrão Seguro de Desenvolvimento

25 Criação de servidores SSL Deve ser criado um servidor SSL para forçar a segurança. Esta tarefa pode ser realizada de várias formas, de acordo com a necessidade do sistema. Criando um servidor SSL para comunicar-se apenas através do protocolo SSLv2 e suas cifras: httpd.conf SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP Criando um servidor SSL para aceitar apenas criptografia forte: httpd.conf SSLProtocol all SSLCipherSuite HIGH:MEDIUM Criando um servidor SSL para aceitar apenas criptografia forte, mas permitir que os browsers de exportação evoluam para uma criptografia mais forte: httpd.conf # permite, à princípio, todo tipo de criptografia, # então os browsers podem evoluir para uma criptografia mais forte SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL <Directory /usr/local/apache2/htdocs> # finalmente, são negados todos os browsers que não evoluíram SSLRequire %{SSL_CIPHER_USEKEYSIZE >= 128 </Directory> Criando um servidor SSL para aceitar todos os tipos de cifras, porém requisitando uma cifra forte para acesso a uma URL particular: # aceita todos os tipos de cifras SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL <Location /strong/area> # exceto para https://hostname/strong/area/ e subsequentes # requisita cifra forte SSLCipherSuite HIGH:MEDIUM </Location> 25 SEPLAG - Padrão Seguro de Desenvolvimento

26 Diretivas: Deve ser criado um servidor SSL para forçar a segurança Controle de acesso e autenticação de clientes Todos os clientes devem ser autenticados através de seus certificados. Quando todos os clientes são conhecidos, como no caso de uma intranet, em que é conhecida toda a comunidade de usuários, pode ser utilizada a autenticação com certificado simples: httpd.conf # requisita um certificado simples do cliente. SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile conf/ssl.crt/ca.crt O sistema pode também autenticar seus clientes em uma URL específica, através de seus certificados, permitindo ainda que clientes arbitrários tenham acesso a outras partes do servidor: httpd.conf SSLVerifyClient none SSLCACertificateFile conf/ssl.crt/ca.crt <Location /secure/area> SSLVerifyClient require SSLVerifyDepth 1 </Location> O sistema pode ainda autenticar apenas clientes específicos em algumas URLs, baseados em seus certificados, mas ainda permitir que clientes arbitrários acessem as demais partes do servidor. Para isso, devem ser verificados vários ingredientes do certificado do cliente. Normalmente, é verificada uma parte ou todo o Nome Distinto (DN) do sujeito. Para isso existem 2 métodos: mod_auth e SSLRequire. 26 SEPLAG - Padrão Seguro de Desenvolvimento

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] )

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] ) Disciplina: Tópicos Especiais em TI PHP Este material foi produzido com base nos livros e documentos citados abaixo, que possuem direitos autorais sobre o conteúdo. Favor adquiri-los para dar continuidade

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012

SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012 O servidor Apache é o mais bem sucedido servidor web livre. Foi criado em 1995 por Rob McCool, então funcionário do NCSA (National Center for Supercomputing Applications). Em maio de 2010, o Apache serviu

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Os objetivos indicados aplicam-se a duas linguagens de programação: C e PHP

Os objetivos indicados aplicam-se a duas linguagens de programação: C e PHP AGRUPAMENTO DE ESCOLAS DE SANTA COMBA DÃO CURSO PROFISSIONAL DE TÉCNICO DE GESTÃO E PROGRAMAÇÃO DE SISTEMAS INFORMÁTICOS 2012-2015 PROGRAMAÇÃO E SISTEMAS DE INFORMAÇÃO MÓDULO 2 Mecanismos de Controlo de

Leia mais

Programação WEB. Prof. André Gustavo Duarte de Almeida andre.almeida@ifrn.edu.br docente.ifrn.edu.br/andrealmeida. Aula III Introdução PHP

Programação WEB. Prof. André Gustavo Duarte de Almeida andre.almeida@ifrn.edu.br docente.ifrn.edu.br/andrealmeida. Aula III Introdução PHP Programação WEB Prof. André Gustavo Duarte de Almeida andre.almeida@ifrn.edu.br docente.ifrn.edu.br/andrealmeida Aula III Introdução PHP Introdução PHP PHP=Hypertext Pre-Processor Linguagem de script open

Leia mais

7. Recursos PHP para a Internet

7. Recursos PHP para a Internet 7. Recursos PHP para a Internet Protocolo HTTP. Na aula passada vimos um script simples de autenticação de usuários. Neste script foi usado o tag META para passar uma URL ao servidor web. A linguagem PHP

Leia mais

APOSTILA PHP. Parte 2

APOSTILA PHP. Parte 2 APOSTILA PHP Parte 2 7. Funções Definindo funções A sintaxe básica para definir uma função é: function nome_da_função([arg1, arg2, arg3]) { Comandos;... ; [return ]; Qualquer código PHP

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

PHP Seguro Ernani Azevedo (PROCERGS DRE/ARS Unix)

PHP Seguro Ernani Azevedo (PROCERGS DRE/ARS Unix) PHP Seguro Ernani Azevedo (PROCERGS DRE/ARS Unix) 1 Introdução A linguagem PHP, por ser muito flexível, normalmente é utilizada de forma insegura, tanto pelo desenvolvedor quanto pelos administradores

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

PROJETO PEDAGÓGICO DE CURSOS

PROJETO PEDAGÓGICO DE CURSOS 1 de 6 PROJETO PEDAGÓGICO DE CURSOS BURITREINAMENTOS MANAUS-AM NOVEMBRO / 2014 2 de 6 PACOTES DE TREINAMENTOS BURITECH A Buritech desenvolveu um grupo de pacotes de treinamentos, aqui chamados de BuriPacks,

Leia mais

PHP & Segurança: Uma União Possível

PHP & Segurança: Uma União Possível PHP & Segurança: Uma União Possível v. 2.1 Abril/2007 Objetivo: Esta apresentação tem por objetivo apresentar técnicas para o desenvolvimento de aplicações seguras utilizando a linguagem PHP, eliminando

Leia mais

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Palestrante: Alexandre Sieira, CISSP Autores: Alexandre Correia Pinto, CISSP Alexandre Sieira, CISSP

Leia mais

Cláudio Borges cborges@openbsd sp.org

Cláudio Borges cborges@openbsd sp.org Cláudio Borges cborges@openbsd sp.org O Que será abordado O porque da segurança. Diretivas e funções perigosas. Configurando o open_basedir e disable_functions. Utilizando as diretivas php_flag e php_value.

Leia mais

Sumário. Capítulo 1 Revisão de PHP... 19. Capítulo 2 Melhorando o processamento de formulários... 46

Sumário. Capítulo 1 Revisão de PHP... 19. Capítulo 2 Melhorando o processamento de formulários... 46 9 Sumário O Autor... 8 Introdução... 15 Quem deve ler este livro... 15 Como este livro está organizado...16 Download do código-fonte do livro... 18 Capítulo 1 Revisão de PHP... 19 Iniciando em PHP... 19

Leia mais

Introdução ao PHP. Prof. Késsia Marchi

Introdução ao PHP. Prof. Késsia Marchi Introdução ao PHP Prof. Késsia Marchi PHP Originalmente PHP era um assíncrono para Personal Home Page. De acordo com convenções para atribuições de nomes recursivas do GNU foi alterado para PHP Hypertext

Leia mais

Segurança Web com PHP 5

Segurança Web com PHP 5 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Lista de Erros Discador Dial-Up

Lista de Erros Discador Dial-Up Lista de Erros Discador Dial-Up Erro Código Descrição Ok 1 Usuário autenticado com sucesso e conexão encerrada pelo usuário OK 11 Usuário autenticado com sucesso e discador terminado pelo usuário OK 21

Leia mais

Sumário. Capítulo 1 O que é o PHP?... 19. Capítulo 2 Instalação do PHP... 23. Capítulo 3 Noções básicas de programação... 25

Sumário. Capítulo 1 O que é o PHP?... 19. Capítulo 2 Instalação do PHP... 23. Capítulo 3 Noções básicas de programação... 25 9 Sobre o autor... 8 Introdução... 15 Capítulo 1 O que é o PHP?... 19 Características do PHP...20 Gratuito e com código aberto...20 Embutido no HTML...20 Baseado no servidor...21 Bancos de dados...22 Portabilidade...22

Leia mais

Estável. Rápida. Simples. Poderosa. Bem documentada. Multi- plataforma. Extensivel.

Estável. Rápida. Simples. Poderosa. Bem documentada. Multi- plataforma. Extensivel. Conteúdo: Porque PHP? Porque cuidar da segurança é tão importante? Cuidados com diretivas e funções. Register_globals. Utilizando php_flag e php_value. Logs e exibição de erros. Programando com segurança.

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Capítulo 1 Introdução... 15. A quem se destina... 17. Convenções utilizadas... 18. Evolução do PHP... 19. Capítulo 2 Sintaxe do PHP...

Capítulo 1 Introdução... 15. A quem se destina... 17. Convenções utilizadas... 18. Evolução do PHP... 19. Capítulo 2 Sintaxe do PHP... Conteúdo do Manual Capítulo 1 Introdução... 15 Objectivos do manual...17 A quem se destina... 17 Versão do PHP utilizada... 18 Convenções utilizadas... 18 Evolução do PHP... 19 PHP/FI... 19 PHP/FI 2.0...

Leia mais

Copyright 2008, 2013 da Novatec Editora Ltda.

Copyright 2008, 2013 da Novatec Editora Ltda. 4a Edição Novatec Copyright 2008, 2013 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo,

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Cartilha de Desenvolvimento Seguro

Cartilha de Desenvolvimento Seguro Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

Conecta S_Line. 2.2 Downloads Para instalar o Conecta S_Line, basta acessar www.sline.com.br/downloads.aspx

Conecta S_Line. 2.2 Downloads Para instalar o Conecta S_Line, basta acessar www.sline.com.br/downloads.aspx 1 Introdução O Conecta S_Line permite que o laboratório envie à Central S_Line os resultados de exames gerados pelo Sistema de Informação Laboratorial (LIS) em forma de arquivos digitais. Todo o processo

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível Versão 1.0 Janeiro de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX e Design são marcas da Xerox Corporation nos Estados Unidos e/ou em outros países. São feitas alterações periodicamente

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Linguagem de Programação III Aula 2 Revisão Parte II

Linguagem de Programação III Aula 2 Revisão Parte II Linguagem de Programação III Aula 2 Revisão Parte II Prof. Moser Fagundes Curso Técnico em Informática (Modalidade Integrada) Instituto Federal Sul-Rio-Grandense (IFSul) Campus Charqueadas Revisão de PHP

Leia mais

arquitetura do join.me

arquitetura do join.me Uma visão geral técnica da arquitetura confiável e segura do join.me. 1 Introdução 2 Visão geral da arquitetura 3 Segurança de dados 4 Segurança de sessão e site 5 Visão geral de hospedagem 6 Conclusão

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

Programação Web Prof. Wladimir

Programação Web Prof. Wladimir Programação Web Prof. Wladimir Linguagem de Script e PHP @wre2008 1 Sumário Introdução; PHP: Introdução. Enviando dados para o servidor HTTP; PHP: Instalação; Formato básico de um programa PHP; Manipulação

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Programação Web com PHP. Prof. Wylliams Barbosa Santos wylliamss@gmail.com Optativa IV Projetos de Sistemas Web

Programação Web com PHP. Prof. Wylliams Barbosa Santos wylliamss@gmail.com Optativa IV Projetos de Sistemas Web Programação Web com PHP Prof. Wylliams Barbosa Santos wylliamss@gmail.com Optativa IV Projetos de Sistemas Web Agenda O que é PHP? O que da pra fazer com PHP? Como a web funciona? Onde, quando e por que

Leia mais

PTA Versão 4.0.6 21/11/2012 Manual do Usuário ÍNDICE

PTA Versão 4.0.6 21/11/2012 Manual do Usuário ÍNDICE ÍNDICE INTRODUÇÃO... 2 Finalidade do Aplicativo... 2 Notas sobre a versão... 2 INSTALAÇÃO DO APLICATIVO... 3 Privilégios necessários para executar o instalador... 3 VISÃO GERAL DO PTA... 4 Quando utilizar

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

Prova de pré-requisito

Prova de pré-requisito Prova de pré-requisito Curso Python e Django 1. Ao se acessar o site www.google.com qual comando e parâmetros são enviados para o servidor pelo navegador? a. GET / b. GET www.google.com c. PAGE index.html

Leia mais

Apresentação de REDES DE COMUNICAÇÃO

Apresentação de REDES DE COMUNICAÇÃO Apresentação de REDES DE COMUNICAÇÃO Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos MÓDULO VII Acesso a Bases de Dados via Web Duração: 50 tempos Conteúdos (1) Conceitos

Leia mais

Para testar seu primeiro código utilizando PHP, abra um editor de texto (bloco de notas no Windows) e digite o código abaixo:

Para testar seu primeiro código utilizando PHP, abra um editor de texto (bloco de notas no Windows) e digite o código abaixo: Disciplina: Tópicos Especiais em TI PHP Este material foi produzido com base nos livros e documentos citados abaixo, que possuem direitos autorais sobre o conteúdo. Favor adquiri-los para dar continuidade

Leia mais

Política para desenvolvimento de software seguro

Política para desenvolvimento de software seguro FACULDADE DE TECNOLOGIA SENAC GOIÁS Segurança da Informação Marcos Mesa Cerdan Marcus Vinicius Pedrosa Philipe Toledo Oliveira Política para desenvolvimento de software seguro GOIÂNIA, 2016 Marcos Mesa

Leia mais

Conceitos de extensões Joomla!

Conceitos de extensões Joomla! capítulo 1 Conceitos de extensões Joomla! Entendendo o que é extensão Extensão pode ser entendida como uma pequena aplicação desenvolvida com regras de construção estabelecidas pelo ambiente Joomla!. É

Leia mais

LEI DE ACESSO A INFORMAÇÃO DIREITO DO CIDADÃO

LEI DE ACESSO A INFORMAÇÃO DIREITO DO CIDADÃO DESCRIÇÃO DO SIGAI O SIGAI (Sistema Integrado de Gestão do Acesso à Informação) é uma solução de software que foi desenvolvida para automatizar os processos administrativos e operacionais visando a atender

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Instituto Federal do Sertão-PE. Curso de PHP. Professor: Felipe Correia

Instituto Federal do Sertão-PE. Curso de PHP. Professor: Felipe Correia Instituto Federal do Sertão-PE Curso de PHP Professor: Felipe Correia Conteúdo Parte I Parte II Introdução Funções de strings Instalação Constantes Sintaxe Operadores Variáveis if else elseif Echo/Print

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Curso de PHP. FATEC - Jundiaí. Conteúdo do Curso. 40% de aula teórica 60% de aula prática. O que veremos neste semestre?

Curso de PHP. FATEC - Jundiaí. Conteúdo do Curso. 40% de aula teórica 60% de aula prática. O que veremos neste semestre? Curso de PHP FATEC - Jundiaí Conteúdo do Curso 40% de aula teórica 60% de aula prática O que veremos neste semestre? Linguagem PHP Banco de Dados - PostgreSQL PHP - Introdução ao PHP - Estrutura de um

Leia mais

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza Sessions e Cookies progweb2@thiagomiranda.net Conteúdos Os materiais de aula, apostilas e outras informações estarão disponíveis em: www.thiagomiranda.net Cookies e Sessions Geralmente, um bom projeto

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Instruções de operação Guia de segurança

Instruções de operação Guia de segurança Instruções de operação Guia de segurança Para um uso seguro e correto, certifique-se de ler as Informações de segurança em 'Leia isto primeiro' antes de usar o equipamento. CONTEÚDO 1. Instruções iniciais

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Manual Técnico. Gateway de Pagamentos HSBC Débito Online PUBLIC. Versão 2.3 Maio/2013

Manual Técnico. Gateway de Pagamentos HSBC Débito Online PUBLIC. Versão 2.3 Maio/2013 Manual Técnico Gateway de Pagamentos HSBC Débito Online Versão 2.3 Maio/2013 PUBLIC Sumário INTRODUÇÃO... 4 1. INICIANDO A INTEGRAÇÃO... 5 2. PROCESSO OPERACIONAL... 5 2.1. Pré Requisitos... 5 2.2. Glossário...

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

Guia do Usuário Administrativo Bomgar 10.2 Enterprise

Guia do Usuário Administrativo Bomgar 10.2 Enterprise Guia do Usuário Administrativo Bomgar 10.2 Enterprise Índice Introdução 2 Interface administrativa 2 Status 2 Minha conta 3 Opções 3 Equipes de suporte 4 Jumpoint 5 Jump Clients 6 Bomgar Button 6 Mensagens

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP 2ª Edição Juliano Niederauer Novatec Copyright 2009, 2011 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Integrated User Verification Guia de Implementação do Cliente 2015-05-04 Confidencial Versão 2.9

Integrated User Verification Guia de Implementação do Cliente 2015-05-04 Confidencial Versão 2.9 Integrated User Verification Guia de Implementação do Cliente 2015-05-04 Confidencial Versão 2.9 SUMÁRIO Introdução... 2 Finalidade e público-alvo... 2 Sobre este documento... 2 Termos mais utilizados...

Leia mais

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Onde pode ser usada? Arquivos de um Computador Internet Backups Redes

Leia mais

TEORIA BÁSICA SOBRE LINGUAGEM PHP

TEORIA BÁSICA SOBRE LINGUAGEM PHP PHP - Introdução Vantagens do Uso do PHP O php é uma linguagem de programação para ambiente web ou seja com ela, você pode desenvolver aplicações que possam ser acessadas via browser (netscape,internet

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

para Mac Guia de Inicialização Rápida

para Mac Guia de Inicialização Rápida para Mac Guia de Inicialização Rápida O ESET Cybersecurity fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense, o primeiro mecanismo de verificação

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

TCEnet. Manual Técnico. Responsável Operacional das Entidades

TCEnet. Manual Técnico. Responsável Operacional das Entidades TCEnet Manual Técnico Responsável Operacional das Entidades 1 Índice 1. Introdução... 3 2. Características... 3 3. Papéis dos Envolvidos... 3 4. Utilização do TCEnet... 4 4.1. Geração do e-tcenet... 4

Leia mais

#WordPressSeguro. Guia prático para implementações de segurança em WordPress

#WordPressSeguro. Guia prático para implementações de segurança em WordPress #WordPressSeguro Guia prático para implementações de segurança em WordPress Versão 1. Março de 2015 Guia prático para implementações de Segurança em WordPress Sobre este guia prático Garantia e direitos

Leia mais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Manual do Nscontrol Principal Senha Admin Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Aqui, você poderá selecionar quais programas você quer que

Leia mais

UNIVERSIDADE PRESBITERIANA MACKENZIE FACULDADE DE COMPUTAÇÃO E INFORMÁTICA

UNIVERSIDADE PRESBITERIANA MACKENZIE FACULDADE DE COMPUTAÇÃO E INFORMÁTICA EDITAL DO PROGRAMA DE CERTIFICAÇÕES EM COMPUTAÇÃO MACK COMPUTING CERTIFICATION MCC 2º SEMESTRE DE 2014 O Diretor da Faculdade de Computação e Informática (FCI), no uso de suas atribuições estatutárias

Leia mais

Algoritmos em Javascript

Algoritmos em Javascript Algoritmos em Javascript Sumário Algoritmos 1 O que é um programa? 1 Entrada e Saída de Dados 3 Programando 4 O que é necessário para programar 4 em JavaScript? Variáveis 5 Tipos de Variáveis 6 Arrays

Leia mais

PHP() é uma linguagem de integração de servidor que permite a criação de paginas dinâmicas. Como todas

PHP() é uma linguagem de integração de servidor que permite a criação de paginas dinâmicas. Como todas O que é PHP? Acrônimo de PHP: Hipertext Language PostProcessor Inicialmente escrita para o desenvolvimento de aplicações Web Facilidade para iniciantes e recursos poderosos para programadores profissionais

Leia mais

APOSTILA PHP PARTE 1

APOSTILA PHP PARTE 1 APOSTILA PHP PARTE 1 1. Introdução O que é PHP? PHP significa: PHP Hypertext Preprocessor. Realmente, o produto foi originalmente chamado de Personal Home Page Tools ; mas como se expandiu em escopo, um

Leia mais